いっそう重視される「Security by Design」という発想
――デジタル化が進み、サイバーセキュリティの重要度は増す一方です。現状をどう見ていますか。
【淵上】業務効率化や生産性向上といったレベルを超えて、システムが企業の利益創出の源泉になっています。多くの経営者が「サイバー攻撃は深刻な経営課題」という認識をお持ちでしょう。
サイバーセキュリティというと、以前は個人情報や機密情報の漏洩対策の観点からシステムをどう防衛するかが主な関心事でした。現在では、人の経験や知見までもデジタル化され、サプライチェーンが拡大し、サイバー空間とフィジカルが繋がっています。情報漏洩だけに留まらず、システムが止まることが経営やライフラインに及ぼす影響は計り知れません。
――そうした中で、サイバーセキュリティを確保するには何が重要でしょうか。
【淵上】Security by Designという発想が肝心だと考えます。何か問題が起こってから後付けで対応するのではなく、攻撃を受ける前提で被害を出さないようにしておく考えで、企画・設計段階から運用までを見据えて、予めセキュアなシステムを構築するということです。
言葉として使われ始めた2000年代初めよりも前から、重要な考えとしてNECも取り組んできました。お話したとおり、システムの利用範囲が拡大し、サイバー攻撃が事業活動そのものの存続にも影響を与える中、Security by Designは不可欠なものになってきています。ある意味当然のことで、例えば家を建てるとき、設計の段階で災害対策や家族構成の変化などを考慮しておく方が、後で変更するよりも合理的なのは明らかでしょう。
ただ、Security by Designの詳細を企業の経営層が理解する必要はないと、私は思っています。家を建てるときに、細かな建築手法やルールを施主が知らなくてもいいのと同様です。そこは、NECのようなシステムを提供する側が押さえておくべき。そう考えています。
――Security by Designを実現するにあたり、先端のセキュリティ技術がいっそう重要になっていくのでしょうか。
【淵上】もちろん技術は大事ですが、NECとしては「人」こそが基本だと考えています。なぜなら、サイバー攻撃の手法や対象が刻々と変化する中、求められるのは“想像力”。全体像を大きな枠組みでとらえ、対策を想像する力です。仮説を超えた何かを想像することは機械やAIには難しいでしょう。
――そうした考えに基づき、NECではどのような仕組みでセキュリティ人材の育成・発掘に取り組んでいますか。
【淵上】教育システムについては“体系的”であることを重視し、社員がそれぞれの職種や知識・スキルに応じて必要な研修・トレーニングが受けられる仕組みを設けています。体系的であるということは、次に何をしたらいいかが明確であるということ。そうした環境を整備することで、社員が目標を持ってスキルアップすることが可能になります。
具体的には、すべての職種で受けられるようにEラーニングをベースとし、セキュリティ技術者、そうでない人、それぞれが必要なスキルを習得できるプログラムを用意しています。2015年度から、NECグループの社員なら誰でも参加できる独自の「NECセキュリティスキルチャレンジ」も重要な施策の一つです。
NECのサイバーセキュリティ人材育成プログラム例
“知っている”と“できる”は違う
――NECグループ内で年々参加者が増えている「NECセキュリティスキルチャレンジ」は園田さんが発案したそうですが、どのようなものでしょうか。
【園田】不正アクセスのデータやアプリケーションの脆弱性などの設問を解くことでセキュリティのスキルを競うCapture The Flag(以下、CTF)のNEC版です。設問をセキュリティの関連団体が定めるスキルセット(*)と紐付けているため、成績によって参加者も、また会社も、持っている知識・スキルのレベルを把握できるのが一つの特長です。
(*)
・NPO日本ネットワークセキュリティ協会(JNSA):人材スキルマップ:情報セキュリティに関する業務に携わる人材が身につけるべき知識とスキルを体系的に整理したもの。
・独立行政法人情報処理推進機構(IPA):iコンピテンシ ディクショナリ:企業においてITを利活用するビジネスに求められる業務とそれを支えるIT人材の能力や素養を体系化したもの。企業が経営戦略などの目的に応じた人材育成に利用できる。
【淵上】「NECセキュリティスキルチャレンジ」は、新たなセキュリティ技術や業務で使える最新のツールについて学べるだけでなく、まさに個々人のスキルを明確にできる点がポイント。Security by DesignをNECの文化として浸透させるために、間口を広げてセキュリティ人材の裾野を広げつつ、グループ内で優秀な人材を発掘できる仕組みにもなっています。
――CTFという手法を採用したのはどうしてですか。
【園田】設問を解くことで自分の力が可視化され、スキルアップすれば成長を実感できる。そうしたゲーム的な要素を持たせることで、直接セキュリティに関わらない職種の社員にも関心を持ってもらえると考えました。質の高いSecurity by Designの実現には、専門の技術者(SE)だけでなく、営業担当も、保守・サービス担当も、すべての社員がセキュリティの感覚を持っておく必要があります。
また、 単に“知っている”だけでなく、“できる”人を増やしたいとの思いもありました。例えばシステムに不正アクセスがあった場合、その手法を“知っている”だけでなく、実際に自らも“できる”人の方が、次の一手の精度を上げられます。なので、知識や最新情報を勉強してもらうだけでなく、具体的に解を想像し、仮説から分析・解析するといったアクションを伴う取り組みにしたかった。実際参加者から、“できる”力がお客様とのやりとりで役に立ったという声も多く届いています。
――「NECセキュリティスキルチャレンジ」がどのように実施されているのか教えてください。
【園田】年1回、2週間にわたってオンライン上で開催しており、社員は自分のペースで取り組むことができます。業務で使えることを意識して作成した設問は全部で100問。難易度は初級・中級・上級の3段階で設定しており、初心者でも参加しやすくなっています。各年度の結果を統計的に比較するための類似設問を設けながら、6~7割の設問は毎回更新しており、常に新しい攻撃や技術、ツールに触れられるようにしています。
一般的なCTFと比べると、設問の解説を充実させている点も特長。スコアを競うだけのコンテストではなく、教育システムの一環としてそれぞれの設問に取り組み、解法を理解することでセキュリティのどのような知識・スキルを習得したと言えるか、参加者に理解してもらうことを大事にしています。
――そうした取り組みによって、Security by Designのクオリティも高まりそうです。
【淵上】お話したとおり、人の想像力が大きな役割を果たすのがセキュリティの世界です。その想像力を支えるのは確かなスキルですから、その意味で「NECセキュリティスキルチャレンジ」は重要な取り組みです。また、これも繰り返しになりますが、今の時代、Security by Designを実践するには、専門の技術者でなくても、セキュリティの発想が求められる。地道な取り組みで、お客様に安全・安心を提供できるよう、NECグループ全体のスキルの底上げを図っていきたいと思います。
セキュリティ対策においてゴールを設定するのは難しいですが、一つの理想はデジタルシステムを利用する皆さんがセキュリティについて意識しないでいられる状況をつくり出すこと。その実現に向け、今後も多面的な取り組みを行っていきます。
【NECセキュリティスキルチャレンジ参加者の声】
一方的に説明するだけでなく、お客様の疑問に答えられる
2016年度から継続して参加しています。もともとは力試しが目的でしたが、営業推進職(プリセールス)からエンジニア職に変わり、業務で直接的に役立つ機会も増えてきました。お客様にサイバー攻撃の解析ツールの使い方を教える際も、単にシナリオどおりに伝えるだけでなく、一歩突っ込んだ話が可能です。ツール自体はクリックすれば作動しますが、そこでどのような解析が行われているか――。そうした質問にも答えられるのがやはり大きい。まさに“知っている”と“できる”の違いを実感しています。
終了後に後輩たちと振り返り。教育ツールとしても役に立つ
宇宙関連の業務で扱うシステムはセキュリティを考慮したクローズドなネットワーク下にあるため、直接サイバー攻撃を受けることは基本的にありません。ただエンジニアとして、Security by Designを実践していく中で、広くセキュリティ分野の動向を把握しておきたいため、継続的に参加しています。同じ部門の若手にも参加を促し、終了後に一緒に振り返りを行っています。設問が実践的なので、業務に関連付けて後輩たちにアドバイスできるのがメリット。教育ツールとしても役立っています。
最新の対策方法、自分の苦手分野を知ることができる
営業職として自社製品を説明するにも、セキュリティへの意識は重要。ある種ゲーム感覚で楽しみながら、自分のスキルを確認し、新たな技術を学ぶことができる点に興味を持ち、参加しています。近年増えている標的型攻撃メールをはじめ、具体的な事象に対して最新の対策方法を知ることができるので勉強になります。また、幅広い領域から出題されるため自分の苦手分野を知ることができるのも利点です。